GateControl vs. Tailscale vs. Cloudflare Tunnel: Welche Lösung passt zu deinem Homelab?
Du betreibst ein Homelab mit Proxmox, Docker oder einem NAS und willst auf deine Dienste von unterwegs zugreifen? Oder du bist ein kleines Team, das interne Tools sicher erreichbar machen muss — ohne eine Enterprise-VPN-Lösung? Dann stehst du vor einer grundlegenden Entscheidung: Cloudflare Tunnel, Tailscale oder GateControl?
In diesem Artikel vergleichen wir die drei Lösungen entlang der Kriterien, die für Homelabber und KMU wirklich zählen: Datenhoheit, Funktionsumfang, Limits, Kosten und Komplexität.
TL;DR — Der Schnellvergleich
| Kriterium | GateControl | Cloudflare Tunnel | Tailscale |
|---|---|---|---|
| Hosting | 100% selbstgehostet | Cloudflare-Infrastruktur | Cloud-Koordination |
| Datenhoheit | Vollständig bei dir | Traffic über Cloudflare | Peer-to-Peer, aber Cloud-Auth |
| Upload-Limit | Keins | 100 MB (Zero Trust) | Keins |
| Reverse Proxy | Caddy + Auto-HTTPS | Ja | Eingeschränkt (Funnel) |
| TCP/UDP-Forwarding | L4 Proxy (SSH, RDP, DBs) | Spectrum (kostenpflichtig) | Ja (via VPN) |
| Eigene Domains | Jede Domain + Let's Encrypt | Nur CF-verwaltete | Nur MagicDNS |
| Auth pro Route | Basic, OTP, TOTP, 2FA | Access Policies | Nein |
| Monitoring | Uptime + Circuit Breaker | Basis-Analytics | Nein |
| Vendor Lock-in | Keins (Standard-WireGuard) | Hoch | Mittel |
| Kosten | Community-Plan kostenlos | Gratis-Stufe | Gratis für Privat |
Was ist das Problem eigentlich?
Die meisten Homelabber kennen das Szenario: Du hast Dienste laufen — Jellyfin, Home Assistant, Gitea, Nextcloud, ein NAS — und willst von unterwegs darauf zugreifen. Die klassischen Optionen sind unbefriedigend:
- Port-Forwarding: Unsicher, erfordert feste IP, jeder Port ist ein Angriffsvektor
- DynDNS + Nginx: Funktioniert, aber manuelle Zertifikatsverwaltung und keine VPN-Verschlüsselung
- Kommerzieller VPN: Teuer, komplex, für Unternehmen konzipiert
Cloudflare Tunnel, Tailscale und GateControl lösen dieses Problem auf unterschiedliche Weise. Alle drei machen interne Dienste sicher erreichbar — aber die Architektur, die Tradeoffs und die Zielgruppe unterscheiden sich fundamental.
Cloudflare Tunnel: Der Cloud-Ansatz
Wie funktioniert Cloudflare Tunnel?
Cloudflare Tunnel (ehemals Argo Tunnel) erstellt eine ausgehende Verbindung von deinem Server zu Cloudflare's Netzwerk. Ein kleiner Daemon (cloudflared) läuft auf deinem Server und baut einen verschlüsselten Tunnel zu Cloudflare auf. Eingehende Anfragen an deine Domain werden über Cloudflare's Netzwerk an deinen Tunnel und von dort an deinen Dienst weitergeleitet.
Vorteile
- Kein offener Port nötig: Der Tunnel ist ausgehend — keine Firewall-Konfiguration
- DDoS-Schutz: Cloudflare's Netzwerk filtert Angriffe automatisch
- Zero Trust möglich: Access Policies mit Identity Provider (Google, GitHub etc.)
- Einfaches Setup: Ein Befehl, eine YAML-Datei
Nachteile und Limits
- 100 MB Upload-Limit: Zero Trust begrenzt Uploads auf 100 MB — ein Dealbreaker für Nextcloud, Synology Drive oder große Dateiübertragungen
- Kein TCP/UDP-Forwarding: SSH, RDP oder Datenbank-Zugriff erfordert Cloudflare Spectrum — das ist ein separates, kostenpflichtiges Produkt
- Dein Traffic fließt über Cloudflare: Jede HTTP-Anfrage, jeder Header, jeder Cookie wird von Cloudflare's Infrastruktur verarbeitet. Für datensensible Anwendungen ist das problematisch
- Domain muss bei Cloudflare liegen: Deine Domain muss Cloudflare als Nameserver nutzen. Zertifikate werden automatisch verwaltet (Let's Encrypt / Google Trust Services) — aber du hast keine Kontrolle darueber und kannst keine eigenen Zertifikate einsetzen
- Vendor Lock-in: Proprietärer Tunnel, proprietäre Konfiguration. Migration zu einer anderen Lösung erfordert komplettes Neusetup
Für wen eignet sich Cloudflare Tunnel?
Cloudflare Tunnel ist eine gute Wahl wenn du nur HTTP-Dienste mit kleinen Dateien erreichbar machen willst, DDoS-Schutz brauchst, und kein Problem mit der Datenverarbeitung durch Cloudflare hast. Typisch: einfache Webapps, Dashboards, APIs.
Tailscale: Das Mesh-VPN
Wie funktioniert Tailscale?
Tailscale baut ein Mesh-VPN auf Basis von WireGuard. Jedes Gerät installiert den Tailscale-Client und erhält eine IP im 100.x.x.x-Bereich. Die Geräte verbinden sich direkt miteinander (Peer-to-Peer) — der Koordinationsserver von Tailscale vermittelt nur den initialen Handshake.
Vorteile
- Peer-to-Peer: Traffic fließt direkt zwischen den Geräten, nicht über einen zentralen Server
- MagicDNS: Geräte sind über sprechende Namen erreichbar (z.B.
nas.tail1234.ts.net) - Einfache Installation: Client installieren, einloggen, fertig
- ACLs: Feingranulare Zugriffsregeln über eine zentrale Policy
Nachteile und Limits
- Kein Reverse Proxy: Tailscale ist ein VPN, kein Reverse Proxy. Um einen Dienst über eine eigene Domain erreichbar zu machen, brauchst du zusätzlich Nginx/Caddy auf einem Exit-Node
- Tailscale Funnel ist limitiert: Die Funnel-Funktion (öffentliche Erreichbarkeit ohne VPN-Client) unterstützt nur HTTPS und hat Einschränkungen bei Ports und Protokollen
- Nur Tailscale-Subdomains: Keine eigene Domain mit eigenem SSL-Zertifikat — du bekommst
*.ts.net-Adressen - Cloud-Koordination: Der Handshake und die ACL-Verwaltung laufen über Tailscale's Server. Ohne deren Koordinationsserver kein neuer Verbindungsaufbau
- Kein Monitoring, keine Alerts: Tailscale zeigt dir nicht ob ein Dienst erreichbar ist oder nicht
- Jeder Client braucht Tailscale: Deine Eltern, Freunde oder Kunden müssen den Tailscale-Client installieren um auf deine Dienste zuzugreifen
Für wen eignet sich Tailscale?
Tailscale ist ideal wenn du ein privates Netzwerk zwischen eigenen Geraeten aufbauen willst (kostenlos fuer bis zu 3 User) — Remote-Zugriff auf den Heimserver vom Laptop, Smartphone oder aus dem Büro. Solange alle Nutzer den Client installieren können und du keine öffentlich erreichbaren Dienste brauchst, ist Tailscale hervorragend.
GateControl: Der Self-Hosted All-in-One-Ansatz
Wie funktioniert GateControl?
GateControl kombiniert WireGuard VPN und Caddy Reverse Proxy in einem einzigen Docker-Container mit Web-UI. Du installierst GateControl auf einem VPS oder Root-Server, verbindest deine Geräte per WireGuard, und konfigurierst Reverse-Proxy-Routen über die Weboberfläche — mit automatischem HTTPS via Let's Encrypt.
Internet → GateControl (HTTPS) → WireGuard Tunnel → Dein Homelab-DienstVorteile
- 100% selbstgehostet: Kein Traffic über Drittanbieter. Dein Server, deine Daten, deine Kontrolle
- VPN + Reverse Proxy in einer UI: Kein separates Nginx, kein manuelles Zertifikats-Management
- Kein Upload-Limit: Nextcloud, Synology Drive, große Backups — alles ohne Beschränkung
- TCP/UDP-Forwarding (L4 Proxy): SSH, RDP, Datenbanken, Game-Server — nicht nur HTTP
- Jede Domain, jeder Registrar: Du behältst deinen DNS-Anbieter. Caddy holt sich automatisch Let's Encrypt-Zertifikate — ein DNS-Eintrag reicht
- Auth pro Route: Basic Auth, Email+Passwort, OTP, TOTP/2FA — mit eigenem Branding pro Login-Seite
- Monitoring & Circuit Breaker: Uptime-Checks, automatische Alerts, Circuit Breaker bei Backend-Ausfällen
- Keine Client-Installation für Besucher: Öffentliche Dienste sind direkt über den Browser erreichbar — nur deine internen Geräte brauchen WireGuard
- Standard-WireGuard: Kein proprietäres Protokoll, kein Lock-in. Jeder WireGuard-Client funktioniert
Nachteile
- Du brauchst einen Server: GateControl laeuft auf einem VPS mit oeffentlicher IP. Ein minimaler VPS mit 1 vCore und 1 GB RAM reicht aus — ab unter 2€/Monat bei Anbietern wie Netcup, Hetzner oder Contabo
- Kein DDoS-Schutz: Anders als Cloudflare gibt es keinen vorgeschalteten Angriffs-Filter. Für die meisten Homelabs irrelevant, für öffentliche Dienste mit viel Traffic ein Faktor
- Setup erfordert DNS-Konfiguration: Du musst DNS-Einträge auf deinen Server zeigen lassen — ein einmaliger Aufwand von 5 Minuten
Für wen eignet sich GateControl?
GateControl ist die richtige Wahl wenn du volle Kontrolle über deine Infrastruktur behalten willst, Dienste über eigene Domains mit HTTPS erreichbar machen willst, und Wert auf Datenhoheit legst. Besonders wenn du nicht-HTTP-Dienste (SSH, RDP, Datenbanken) brauchst oder große Dateien überträgst.
Der detaillierte Vergleich
Datenhoheit und Datenschutz
Für DSGVO-relevante Anwendungen und datensensible Dienste ist die Frage wo dein Traffic verarbeitet wird entscheidend:
- GateControl: Dein Traffic verlässt nie deinen eigenen Server. End-to-End verschlüsselt über WireGuard. Keine Drittanbieter-Verarbeitung
- Cloudflare: Jede Anfrage wird von Cloudflare's Edge-Servern terminiert, entschlüsselt, verarbeitet und neu verschlüsselt an dein Backend weitergeleitet. Cloudflare sieht den gesamten HTTP-Traffic
- Tailscale: Der Traffic selbst ist Peer-to-Peer und verschlüsselt. Aber der Koordinationsserver (Authentifizierung, Key-Austausch, ACL-Verwaltung) liegt bei Tailscale Inc. in den USA
Upload-Limit: Der 100-MB-Dealbreaker
Cloudflare Tunnel's 100 MB Upload-Limit im Zero Trust Free-Tier ist ein häufig übersehener Stolperstein. Was bedeutet das praktisch?
- Ein 4K-Video von deinem Smartphone hochladen → Fehlschlag
- Nextcloud-Sync mit großen Dateien → Fehlschlag
- Synology Drive Backup → Fehlschlag
- Docker-Images über deine eigene Registry pushen → Fehlschlag
GateControl und Tailscale haben dieses Limit nicht. Dein Traffic fließt direkt über deinen eigenen Server bzw. Peer-to-Peer — ohne künstliche Beschränkungen.
Reverse Proxy und Domains
Willst du nextcloud.deine-domain.de oder jellyfin.deine-domain.de mit HTTPS erreichbar machen?
- GateControl: Domain hinzufügen, Peer wählen, Port eingeben. Caddy holt automatisch ein Let's Encrypt-Zertifikat. Fertig
- Cloudflare: Funktioniert gut, aber die Domain muss Cloudflare als Nameserver nutzen. Zertifikate (Let's Encrypt / Google Trust Services) werden automatisch verwaltet — kein Bring-Your-Own-Certificate
- Tailscale: Kein eingebauter Reverse Proxy. Du brauchst zusätzlich Caddy oder Nginx auf einem deiner Nodes. Tailscale Funnel ist auf HTTPS beschränkt und bietet keine eigenen Domains
Nicht-HTTP-Dienste: SSH, RDP, Datenbanken
Nicht alles ist HTTP. Wenn du per SSH auf deinen Server willst, eine PostgreSQL-Datenbank erreichen musst, oder einen Minecraft-Server betreibst:
- GateControl: Layer 4 Proxy leitet TCP/UDP-Traffic direkt weiter. TLS-Passthrough möglich. Konfiguration über die Web-UI
- Cloudflare: Cloudflare Spectrum kann TCP/UDP weiterleiten — aber nur im kostenpflichtigen Enterprise-Plan oder als separates Add-on
- Tailscale: Funktioniert über das VPN, aber nur wenn der Client Tailscale installiert hat. Keine öffentliche Erreichbarkeit ohne VPN-Client
Kostenvergleich
| Loesung | Kostenloser Plan | Bezahlte Plaene | Zusaetzliche Kosten |
|---|---|---|---|
| GateControl | Community: 5 Peers, 3 Routen | Pro: 9,90 EUR/Monat, Lifetime: 149 EUR einmalig | VPS ab ca. 2 EUR/Monat (1 vCore, 1 GB RAM) |
| Cloudflare Tunnel | Ja (100 MB Upload-Limit) | Zero Trust: ab 7 USD/User/Monat | Spectrum (TCP/UDP): Enterprise-Preise |
| Tailscale | Personal: max. 3 User, 100 Geraete | Starter: 6 USD/User/Monat, Premium: 18 USD/User/Monat | Kein VPS noetig (aber Exit-Node fuer oeffentliche Dienste) |
Hinweis: Tailscale erfordert zwar keinen VPS, aber wenn du öffentliche Dienste brauchst (ohne dass jeder Nutzer den Client installiert), brauchst du trotzdem einen Exit-Node + Reverse Proxy — also letztlich doch einen Server.
Häufig gestellte Fragen (FAQ)
Kann ich GateControl und Tailscale gleichzeitig nutzen?
Ja. Tailscale für Geräte-zu-Geräte-Kommunikation, GateControl für die öffentliche Erreichbarkeit von Diensten über eigene Domains. Die beiden Systeme ergänzen sich.
Ist GateControl sicher genug für Produktionsumgebungen?
GateControl nutzt WireGuard (Noise Protocol, Curve25519, ChaCha20-Poly1305) für die VPN-Verschlüsselung und Caddy für automatisches HTTPS. Die Web-UI ist durch Argon2-Hashing, CSRF-Schutz, Rate Limiting und CSP-Header gesichert. Für ein Homelab oder KMU ist das mehr als ausreichend.
Was passiert wenn mein GateControl-Server ausfällt?
Dann sind deine Dienste über die öffentlichen Domains nicht mehr erreichbar — genau wie bei Cloudflare Tunnel wenn cloudflared stoppt. Der Unterschied: Bei GateControl hast du vollen Zugriff auf Logs, Backups und Recovery. Circuit Breaker und Monitoring warnen dich bevor es kritisch wird.
Kann ich von Cloudflare Tunnel oder Tailscale zu GateControl migrieren?
Ja. GateControl nutzt Standard-WireGuard — du erstellst einfach neue Peers und richtest die Routen in der Web-UI ein. Die Migration dauert typischerweise 15-30 Minuten pro Dienst.
Warum brauche ich einen VPS für GateControl?
GateControl braucht eine öffentliche IP-Adresse um als Eintrittspunkt für externe Anfragen zu dienen. Ein günstiger VPS (ab ~3€/Monat bei Hetzner Cloud, Netcup oder anderen Anbietern) reicht dafür aus. Der VPS leitet den Traffic über den verschlüsselten WireGuard-Tunnel an dein Homelab weiter.
Fazit: Welche Lösung für welchen Einsatzzweck?
Es gibt keine universelle Antwort — aber klare Empfehlungen je nach Szenario:
Wähle Cloudflare Tunnel wenn:
- Du nur einfache HTTP-Webapps erreichbar machen willst
- DDoS-Schutz wichtiger ist als Datenhoheit
- Du keine großen Dateien überträgst (< 100 MB)
Wähle Tailscale wenn:
- Du ein privates Netzwerk zwischen eigenen Geräten brauchst
- Alle Nutzer den Client installieren können
- Du keine öffentlich erreichbaren Dienste brauchst
Wähle GateControl wenn:
- Du volle Kontrolle über deine Daten und Infrastruktur willst
- Du Dienste über eigene Domains mit HTTPS erreichbar machen willst
- Du nicht-HTTP-Dienste brauchst (SSH, RDP, Datenbanken, Game-Server)
- Du große Dateien überträgst (Nextcloud, NAS-Sync)
- Du Monitoring, Auth und Zugriffskontrolle pro Route brauchst
- Du keinen Vendor Lock-in willst
GateControl kombiniert das Beste aus beiden Welten: Die Verschlüsselung und Performance von WireGuard mit der Flexibilität eines vollwertigen Reverse Proxy — ohne deine Daten einem Drittanbieter anzuvertrauen.